CVE-2025-6218
RARLAB WinRAR
2025-12-09
RARLAB WinRAR contains a path traversal vulnerability allowing an attacker to execute code in the context of the current user.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-6218 в RARLAB WinRAR относится к классу Path Traversal (обход каталога). Злоумышленник может создать специально подготовленный архив, который при распаковке обманывает механизмы проверки путей WinRAR. В результате вредоносный файл (например, исполняемый скрипт или вредоносное ПО) извлекается за пределы целевой папки, выбранной пользователем. Чаще всего злоумышленники используют этот вектор для скрытного копирования файлов в системные директории, такие как папка автозагрузки Windows. Это приводит к выполнению произвольного кода с привилегиями текущего пользователя, открывшего или распаковавшего архив, что может привести к полной компрометации рабочей станции.
Как исправить
Единственным гарантированным способом устранения уязвимости является обновление WinRAR до последней официальной версии, содержащей патч безопасности. Для проверки наличия уязвимой версии на рабочих станциях Windows используйте команду:
winget list --name WinRAR
Для быстрого и автоматического обновления WinRAR до актуальной безопасной версии выполните:
winget upgrade --name WinRAR --exact --silent --accept-package-agreements --accept-source-agreements
Для корпоративной среды: скачайте актуальный дистрибутив с официального сайта RARLAB и разверните его централизованно через SCCM, Intune или GPO, принудительно перезаписав старые версии на всех конечных точках.
Временные меры
Если мгновенное обновление инфраструктуры невозможно, необходимо внедрить следующие компенсирующие контроли: Временно удалите WinRAR с критически важных узлов до момента готовности патч-менеджмента:
winget uninstall --name WinRAR --silent
Настройте правила на почтовых шлюзах (Secure Email Gateway) для блокировки или жесткого карантина входящих писем с вложениями форматов .rar, .rev, а также многотомных архивов (.r00 - .r99).
Внедрите правила в EDR-системах для строгого мониторинга процесса winrar.exe. Блокируйте создание подозрительных дочерних процессов, таких как cmd.exe, powershell.exe, wscript.exe или cscript.exe.
Ограничьте выполнение скриптов и исполняемых файлов из директорий %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ и %TEMP% с помощью AppLocker или Windows Defender Application Control (WDAC).
Проинформируйте сотрудников о критической угрозе и запретите распаковку любых архивов, полученных из недоверенных внешних источников.
В качестве безопасной альтернативы временно используйте встроенные средства Windows для работы с ZIP-архивами или актуальные версии 7-Zip.